Et si on profitait de la rentrée pour partir sur de bonnes bases en se mettant en conformité avec le RGPD ?
Et oui, car une page "politique de confidentialité", ce n'est pas seulement pour les GAFA mais pour tout le monde... Grand ou petit, public ou privé, en Europe le RGPD vous oblige à afficher certaines informations si :
- Votre site web collecte des données de façon directe (formulaire de contact, email, etc.)
- Votre site web collecte des données de façon indirecte (cookies, analytics, ads, trackers, etc.)
Il y a donc de grandes chances que vous soyez concerné. De toutes façons si vous consultez cet article, c'est que vous étiez déjà sur la sellette !
~ Disclaimer ~
Avis aux personnes pressées: pas de copier-coller vite fait sur le modèle pour être conforme au RGPD. Au delà d'écrire des informations sur une page, le RGPD impose de nombreuses restrictions par rapport aux données personnelles, notamment leur confidentialité et leur sécurité. Il impose aussi des actions comme la notification en cas de violation des données et la création d'un registre (oui un registre).
Si ce dernier paragraphe vous dépasse totalement, passez donc un petit coup de fil à la direction juridique pour qu'ils s'en occupent ! Et si vous n'avez pas de direction juridique, ou même pire, si vous faites partie de la direction juridique, poursuivons donc cette merveilleuse aventure.
Notre exemple: site web avec un formulaire et Analytics
Chaque site web doit avoir une politique de confidentialité spécifique en fonction des données collectées et de la façon dont elles sont utilisées.
Nous allons donc prendre comme exemple un site web simple avec Google Analytics installé, ainsi qu'un formulaire de contact classique avec les champs suivants : nom, email, téléphone, entreprise, objet, message.
Attention, si vous affichez du contenu embarqué (vidéo YouTube, fil Twitter...) ou bien que vous utilisiez des plugins ou tags (LinkedIn, Facebook...) il faudra consulter leurs conditions par rapport à leur collecte de données.
Dans tous les cas, je vous suggère fortement de passer du temps sur le site de la CNIL. Les infos sont plutôt bien présentées et, avouons-le, il n'est pas si dégueulasse pour un site juridique.
Les obligations légales du RGPD pour les sites web
Pour être en accord avec la loi dite "Informatique et Libertés", notre petit site doit donc respecter tout un tas de règles et d'afficher certaines informations.
Tout d'abord, les cookies Google Analytics ne seront installés qu'après confirmation de l'utilisateur (la fameuse "cookie popup"). Ensuite, pour le formulaire de contact, nous nous assurerons que l'utilisateur accepte l'utilisation de ses données en cochant une case.
Officiellement, il n'est pas obligatoire de rédiger une page "politique de confidentialité", mais les informations sur les données personnelles doivent être présentées (je cite...) "de façon concise, compréhensible et aisément accessible, en des termes clairs et simples".
Le contenu de la politique de confidentialité
On y arrive ! Dans notre exemple, la politique de confidentialité doit répondre aux questions suivantes :
- Quelles sont les données personnelles collectées et comment ?
- Pourquoi sont-elles collectées ?
- Qui est le responsable du traitement de ces données ?
- Quelle est la base juridique de la collecte ?
- Qui pourra consulter ses données ? Seront-elles transmises à des tiers ?
- Combien de temps seront conservées les données ?
- Quels sont les cookies utilisés dans le site web ?
- Quels sont les droits de l'utilisateur vis-à-vis des données ?
- Quel est le contact du DPO ?
Pour en savoir plus sur chaque question, cliquez sur le lien pour aller sur le site de la CNIL à la section correspondante.
Le modèle gratuit de politique de confidentialité
Voici donc le modèle de la page "politique de confidentialité" pour notre exemple. Attention, comme expliqué plus haut, ces mentions légales sont à adapter à votre site web.
Introduction
Dans le cadre de son activité, la société [Société], dont le siège social est situé au [Adresse du siège social], est amenée à collecter et à traiter des informations dont certaines sont qualifiées de "données personnelles". [Société] attache une grande importance au respect de la vie privée, et n’utilise que des donnes de manière responsable et confidentielle et dans une finalité précise.
Données personnelles
Sur le site web [Adresse du site], il y a 2 types de données susceptibles d’être recueillies :
- Les données transmises directement
Ces données sont celles que vous nous transmettez directement, via un formulaire de contact ou bien par contact direct par email. Sont obligatoires dans le formulaire de contact le champs « prénom et nom », « entreprise ou organisation » et « email ». - Les données collectées automatiquement
Lors de vos visites, une fois votre consentement donné, nous pouvons recueillir des informations de type « web analytics » relatives à votre navigation, la durée de votre consultation, votre adresse IP, votre type et version de navigateur. La technologie utilisée est le cookie.
Utilisation des données
Les données que vous nous transmettez directement sont utilisées dans le but de vous re-contacter et/ou dans le cadre de la demande que vous nous faites. Les données « web analytics » sont collectées de forme anonyme (en enregistrant des adresses IP anonymes) par Google Analytics, et nous permettent de mesurer l'audience de notre site web, les consultations et les éventuelles erreurs afin d’améliorer constamment l’expérience des utilisateurs. Ces données sont utilisées par [Société], responsable du traitement des données, et ne seront jamais cédées à un tiers ni utilisées à d’autres fins que celles détaillées ci-dessus.
Base légale
Les données personnelles ne sont collectées qu’après consentement obligatoire de l’utilisateur. Ce consentement est valablement recueilli (boutons et cases à cocher), libre, clair et sans équivoque.
Durée de conservation
Les données seront sauvegardées durant une durée maximale de 3 ans.
Cookies
Voici la liste des cookies utilisées et leur objectif :
- Cookies Google Analytics (liste exhaustive) : Web analytics
- [Nom du cookie] : Permet de garder en mémoire le fait que vous acceptez les cookies afin de ne plus vous importuner lors de votre prochaine visite.
Vos droits concernant les données personnelles
Vous avez le droit de consultation, demande de modification ou d’effacement sur l’ensemble de vos données personnelles. Vous pouvez également retirer votre consentement au traitement de vos données.
Contact délégué à la protection des données
[Nom du contact] - [Idéalement au moins 2 façons de le contacter]
Bravo, vous êtes arrivés jusque là ! A vous de jouer pour une super page de "politique de confidentialité" !
